Kunden aus dem Finanzsektor verlangen höchste Diskretion und Finanzdienstleistungen gehören mit dem Finanzmarkt-Aufsichtsrecht zu den am stärksten regulierten Geschäften. Damit haben Finanzdienstleister aus rechtlicher Sicht allgemeine Massnahmen und besondere Massnahmen, die der Erfüllung des Bank- und Berufsgeheimnisses sowie des Finanzmarkt-Aufsichtsrechts dienen, zu treffen.
IT-Dienstleister, die für Finanzunternehmen arbeiten, sind explizit auf das Bank- bzw. Berufsgeheimnis aufmerksam zu machen. Sie sind in Geheimhaltungsvereinbarungen auf ihre Verschwiegenheit zu verpflichten.
Bankgeheimnis
Art. 47 Bankengesetz, BankG, SR 952.0, www.admin.ch/ch/d/sr/952_0/a47.htmn
Berufsgeheimnis der Börse und der EffektenhändlerArt. 43 Börsengesetz, BEHG, SR 954.1, www.admin.ch/ch/d/sr/954_1/a43.html
Übersicht über das Finanzmarkt-Aufsichtsrecht www.ebk.admin.ch/d/regulier/index.htm
Awareness, Compliance und Krisenmanagement
Zu den allgemeinen, von allen Unternehmen zu treffenden Massnahmen gehören die Förderung des Bewusstseins der Mitarbeitenden für die Problematik (Awareness) sowie die Aufsicht über die Einhaltung der gesetzlichen Vorschriften und der unternehmensinternen Regeln. Auszugehen ist dabei von einem durch die Geschäftsleitung zu erlassenden Informatikreglement. Dieses definiert das Informatiksystem und regelt insbesondere die Verantwortlichkeiten das Informatiksystem betreffend, den Zugang zum System von innerhalb und von ausserhalb des Unternehmens sowie besondere Sicherheitsvorkehrungen.
Die Einhaltung dieses Reglements sowie weiterer gesetzlicher Vorschriften, wie z.B. das Banken- und Berufsgeheimnis sowie den Datenschutz, muss von einer internen, aber unabhängigen, direkt der Geschäftsleitung unterstellten Informatik-Revisionsstelle im Rahmen einer regelmässigen IT-Compliance überprüft werden.
Darüber hinaus ist zu berücksichtigen, dass es sich beim Informatiksystem eines Finanzunternehmens um eine «kritische Infrastruktur» handelt. Wie z.B. auch Infrastrukturen im Gesundheitswesen, deren Funktion für die Gesellschaft von elementarer Bedeutung ist und die darum gegen Gefahren, wie Hard- und Softwarestörungen, Viren und Hackerangriffe, unabsichtliches oder bösartiges schädliches Verhalten von Mitarbeitenden, Naturkatastrophen und Terroranschläge besonders geschützt werden muss.
Damit ist für die IT-Infrastruktur eines Finanzunternehmens über die allgemeinen Massnahmen hinaus ein Krisenmanagement aufzubauen. Dazu gehört neben der bereits im Informatikregelement vorgenommenen Festlegung der Verantwortlichkeiten und der genauen Definition der IT-Infrastruktur, die Einrichtung eines Krisenstabes, ein Eskalationsprozess, ein klares und zuverlässiges Reporting sowie reggelmässige Übungen und Tests.
Outsourcing
In den letzten Jahren gingen Finanzunternehmen dazu über, nicht nur IT-Dienstleister im Auftragsverhältnis zu verpflichten, sondern ihre IT-Abteilungen ganz oder teilweise auszulagern. Beim IT-Outsourcing sind insbesondere die von der Eidgenössischen Bankenkommission (EBK) dafür erlassenen Regeln (Rundschreiben vom 26. August 1999, www.ebk. admin.ch/d/archiv/2002/rs_outsourcing_d.pdf) zu beachten.
Gemäss diesen Richtlinien ist ein IT-Outsourcing ohne zusätzliche Bewilligung durch die EBK möglich. Dies unter der Voraussetzung, dass die Vorschriften des Datenschutzgesetzes (DSG, SR 235.1) und die entsprechenden Grundsätze der EBK für das IT-Outsourcing (vgl. Kasten) eingehalten werden.
Für die EBK ist insbesondere die Datenaufbewahrung, der Betrieb und Unterhalt von Datenbanken sowie der Betrieb von IT-Systemen ein IT-Outsourcing. Kein IT-Outsourcing ist dagegen die Ausarbeitung eines Informationstechnologie-Projektes zur anschliessenden Integration in den Betrieb der Bank, ein Auftrag zur Software-Entwicklung, der Erwerb von Software-Lizenzen sowie die Hardware- und Software-Wartung durch Dritte.
Outsourcing-Grundsätze
klare Definition des auszulagernden IT-Bereichs
sorgfältige Auswahl, Instruktion und Kontrolle des IT-Dienstleisters
alleinige Verantwortung des Finanzunternehmens gegenüber der EBK für den ausgelagerten IT-Bereich
Definition der Sicherheitsanforderungen und Erstellung eines Sicherheitsdispositivs
ausdrückliche Information und Unterstellung des IT-Dienstleisters unter das Bank- bzw. Berufsgeheimnis
Information der Kunden des Finanzdienstleisters über Outsourcing, z.B. in AGB oder Informationsschreiben
vollumfängliche, jederzeitige und ungehinderte Kontroll- und Revisionsmöglichkeit des ausgelagerten IT-Bereichs
schriftlicher und klarer Vertrag zwischen dem Finanzunternehmen und dem IT-Dienstleister
Electronic Banking und Trading
Für den Betrieb des Electronic Bankings und des Electronic Tradings sind grundsätzlich die gleichen Vorschriften einzuhalten, wie sie für den «Offline-Betrieb» gelten. Wer bereits im Besitz der entsprechenden «Offline-Lizenz» ist, benötigt denn auch keine weitere, spezielle Bewilligung für das Electronic Business.
Die EBK gibt über die wichtigsten Fragen des Electronic Bankings und des Electronic Tradings auf ihrer Homepage Auskunft. Die entsprechenden Informationen finden sich unter der Adresse: www.ebk.admin.ch/d/faq/faq4.htm.
Der Autor
Ueli Grüter, LL.M., Rechtsanwalt, ist Partner bei Grüter Schneider & Partner (www.gsplaw.ch) und Dr. Schneider & Partner AG (www.schneider-ipr.ch). Ueli Grüter begleitet IT-Projekte als Rechtsanwalt und Mediator.
